In einer zunehmend digital vernetzten Welt gewinnen Cyberangriffe auf Unternehmensinfrastrukturen immer mehr an Bedeutung. Besonders kritisch sind hier Sicherheitslücken in weitverbreiteten Systemen wie SAP NetWeaver, die von Unternehmen weltweit eingesetzt werden, um Geschäftsprozesse zu steuern und zu optimieren. Aktuelle Erkenntnisse zeigen, dass mindestens zwei berüchtigte Cybercrime-Gruppen, BianLian und RansomExx, eine gravierende Schwachstelle im SAP NetWeaver ausnutzen, um den gefährlichen PipeMagic Trojaner zu verbreiten. Diese Entwicklung verdeutlicht die wachsende Gefahr durch gezielte Attacken auf spezialisierte IT-Umgebungen und die Notwendigkeit, Systeme schnellstmöglich abzusichern. Die Sicherheitslücke mit der Kennung CVE-2025-31324 wurde erst im Jahr 2025 bekannt und ermöglicht es Angreifern, ohne vorherige Authentifizierung weitreichende Zugriffsrechte auf betroffene SAP-Systeme zu erlangen.
Diese Schwachstelle betrifft vor allem den Metadata Uploader innerhalb von SAP NetWeaver, der unter anderem für den Upload von Java Server Pages (JSP) genutzt wird. Durch Ausnutzung dieses Fehlers können Angreifer Schadcode einschleusen, der dann als Webshell dient, um Kontrolle über das System zu gewinnen und weitere gefährliche Malware zu installieren. ReliaQuest, ein führendes Cybersecurity-Unternehmen, hat in aktuellen Analysen nachgewiesen, dass BianLian und RansomExx diese Lücke bereits aktiv ausnutzen. Dabei handelt es sich um zwei unterschiedliche Gruppen mit verschiedenen Angriffsmethoden, die aber dieselbe Sicherheitslücke als Einstiegspunkt nutzen. Die Gruppe BianLian ist vor allem für Daten-Erpressung und das Sammeln von sensiblen Informationen bekannt, während RansomExx, auch unter dem Namen Storm-2460 geführt, auf Ransomware spezialisiert ist und Unternehmen durch Verschlüsselung von Daten zu Lösegeldzahlungen zwingt.
Im Kontext der SAP-NetWeaver-Exploitation spielen Webshells eine zentrale Rolle. Diese werden meist als JSP-Dateien hochgeladen und ermöglichen Angreifern eine persistent eingerichtete Hintertür, mit der sie direkt auf die Infrastruktur zugreifen können. Nach dem erfolgreichen Upload dieser Webshells erfolgt oft die Verbreitung weiterer schädlicher Komponenten, wie etwa der PipeMagic Trojaner. Dieser Trojaner zeichnet sich durch seine modulare und plugin-basierte Architektur aus, welche ihn besonders flexibel und gefährlich macht. PipeMagic wird genutzt, um privilegierte Zugriffe auf Systemebene zu erzwingen und das gesamte Netzwerk des Opfers zu infiltrieren.
Neben der Nutzung des SAP NetWeaver-Exploit setzen Angreifer auch auf die Ausnutzung weiterer Sicherheitslücken. So wurde festgestellt, dass PipeMagic auch im Zusammenhang mit einer Privilegieneskalation durch eine Schwachstelle im Windows Common Log File System (CVE-2025-29824) eingesetzt wird. Diese Zero-Day-Lücke erlaubt es, Schadcode mit höheren Rechten auszuführen, was die Kontrolle über anvisierte Systeme noch weiter erleichtert. Betroffen sind Unternehmen und Organisationen in verschiedenen Ländern, darunter die USA, Saudi-Arabien, Spanien und Venezuela, was auf eine globale Bedrohungslage hinweist. Die Taktik der Angreifer beinhaltet zudem eine Kombination aus Angriffstechniken, bei der unter anderem die bekannte Command-and-Control (C2)-Infrastruktur zum Einsatz kommt.
So haben Security-Experten Verbindungen zwischen bestimmten IP-Adressen und bekannten C2-Servern von BianLian identifiziert. Diese Verbindungen lassen erkennen, dass die Angreifer unter anderem Tools wie rs64.exe verwenden, um Reverse Proxy-Dienste zu initiieren, sowie das Framework Brute Ratel für anspruchsvollere Kommandos und Kontrolle. Dies zeigt, wie professionell und zielgerichtet die Hackergruppen vorgehen, um maximale Ausbeute zu erzielen. Die Erkenntnisse zu diesen Angriffen sind nicht nur für Unternehmen wichtig, die SAP NetWeaver nutzen, sondern auch für die gesamte IT-Sicherheitsbranche.
Insbesondere die Kombination mehrerer Schwachstellen in derselben Komponente – etwa CVE-2025-31324 und CVE-2025-42999 – macht die Situation noch gefährlicher. Während CVE-2025-31324 ohne jegliche Authentifizierung vollständigen Systemzugriff ermöglichen kann, erfordert die zweite Schwachstelle zwar höhere Berechtigungen, ist für Cyberkriminelle aber ebenso attraktiv. Experten raten daher dazu, beide Schwachstellen mit einem gemeinsamem Patch zu adressieren, da diese als gleichwertig riskant eingestuft werden können. Ebenfalls beunruhigend ist die Tatsache, dass manche Angreifer, darunter auch die Qilin-Ransomware-Gruppe, bereits Wochen vor der offiziellen Bekanntgabe der Lücke exploitaktivitäten durchführten. Dabei wurden JSP-basierte Webshells über den Metadata Uploader platziert und Kommunikation mit Cobalt Strike Infrastruktur hergestellt.
Diese Vorgehensweise verdeutlicht, wie schnell Insiderwissen über Schwachstellen missbraucht wird, um möglichst früh kritische Systeme anzugreifen. Angesichts der hohen Gefährdungslage rückt auch die öffentliche Hand in den Fokus. So hat die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) CVE-2025-42999 in ihre Liste der bekannten ausgenutzten Schwachstellen aufgenommen und forderte eine Einhaltung der Fixes spätestens bis Juni 2025. Solche Maßnahmen sollen helfen, die Angriffsfläche für Ransomware-Gruppen und andere Cyberkriminelle einzudämmen und kritische IT-Infrastrukturen besser zu schützen. Für Unternehmen, die SAP NetWeaver einsetzen, ist es daher unabdingbar, schnellstmöglich die empfohlenen Updates und Patches einzuspielen.
Darüber hinaus sind kontinuierliche Sicherheitsüberprüfungen, Monitoring der Netzwerkaktivitäten und die Implementierung von mehrstufigen Verteidigungsmechanismen ratsam. Der Schutz vor moderner Malware wie PipeMagic erfordert eine Kombination aus technischen Maßnahmen und geschultem Personal, das Angriffsmuster frühzeitig erkennt und darauf reagieren kann. Darüber hinaus sollten Unternehmen ihre Zugriffsrechte gründlich überprüfen und sicherstellen, dass lediglich autorisierte Benutzer Zugang zu kritischen Funktionen und Daten erhalten. Sicherheitsbewusstsein im Unternehmen zu fördern, ist ebenso ein wichtiger Faktor, um erfolgreiche Phishing-Kampagnen und Social Engineering Angriffe, die oft den Einstiegspunkt für solche komplexen Attacken bilden, zu erschweren. Die Situation verdeutlicht einmal mehr, wie schnell und zielgerichtet hochentwickelte Cyberkriminelle Schwachstellen in geschäftskritischen Plattformen ausnutzen, um finanzielle Gewinne zu erzielen oder strategische Vorteile zu erlangen.
SAP NetWeaver, als zentrale technische Plattform für viele Unternehmen, steht daher im Fokus vieler Angreifer und muss entsprechend priorisiert abgesichert werden. Der Einsatz von modernen Sicherheitstechnologien, wie etwa anomaler Verhaltensanalyse, automatisierte Bedrohungserkennung und incident response Systeme, kann helfen, Infektionen mit Trojanern wie PipeMagic frühzeitig zu identifizieren. Gleichzeitig ist die Kooperation zwischen Unternehmen, Security-Dienstleistern und staatlichen Organisationen entscheidend, um Informationen über neue Gefahrenlagen zeitnah zu teilen und zielgerichtete Gegenmaßnahmen zu koordinieren. Abschließend lässt sich festhalten, dass die Ausnutzung der SAP NetWeaver-Schwachstelle durch die BianLian- und RansomExx-Gruppen eine ernstzunehmende Bedrohung darstellt, die hohe Sicherheitsanforderungen an Unternehmen stellt. Nur durch proaktives Sicherheitsmanagement, zeitnahe Updates und umfassende Monitoring-Maßnahmen lässt sich der Schutz gegen komplexe und vielschichtige Bedrohungen langfristig gewährleisten.
Die nahe Zukunft wird zeigen, wie effektiv die IT-Community auf diese Herausforderungen reagiert, um den Schaden für Wirtschaft und Gesellschaft möglichst gering zu halten.
